Insecure CAPTCHA

1. 说实话和csrf有些类似
2. 只要就是代码审计，认真阅读代码，找到判断验证码的方式，进行漏洞绕过
3. 虽然说是不安全的验证码，但其实是不安全的验证流程，

reCAPTCHA验证流程

• 服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
  recaptcha_check_answer($privkey,$remoteip, $challenge,$response）

• 参数 $privkey是服务器申请的private key ，$remoteip是用户的ip， $challenge 是recaptcha_challenge_field 字段的值，来自前端页面 ，$response是 recaptcha_response_field 字段的值。函数返回ReCaptchaResponse class的实例，ReCaptchaResponse 类有2个属性 ：

  • $is_valid是布尔型的，表示校验是否有效
  • $error是返回的错误代码。